본문 바로가기

벌새::PUP Info

검색 도우미 : Windows GearExtion - gemegpnvup.exe (2015.11.17)

728x90
반응형

 

인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창 생성이 이루어질 수 있는 국내에서 제작된 "Windows GearExtion" 광고 프로그램의 변종 정보가 확인되어 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 "GearExtention for Windows (x86,x64)" 이름으로 배포된 적이 있으며, 변종에 따라 다양한 서비스, 작업 스케줄러 값으로 등록되어 동작할 수 있습니다.

 

설치 과정을 살펴보면 배포 파일<SHA-1 : 60d6af96b86646289b5cf2f5fc87280343d08679 - 알약(ALYac) : Gen:Variant.Adware.Symmi.42600> 실행을 통해 gearext_inst.zip 압축 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\gearext_inst.exe" 파일<SHA-1 : 70a1ba12a7ab6ea30c2508c42ba32db3f8bb8e91 - 알약(ALYac) : Gen:Variant.Zusy.101507>을 생성 및 실행합니다.

실행된 파일은 가상 환경 및 분석 도구를 체크하여 조건에 부합할 경우 서버로부터 install.zip 압축 파일을 다운로드 및 압축 해제하여 다음과 같은 프로그램 설치를 진행합니다.

 

파일 경로

 C:\Program Files\Windows GearExt\gearext.exe

SHA-1

 c0e5a4ae0c3933f0040a82eca6c588d9ebadc29a

진단명

 PUP/Win32.GearExt.C420378 (AhnLab V3 365 Clinic)

제품 이름

 GearExtention

파일 설명

 Extention Of Gear

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\Windows GearExt\gearext_uninst.exe

SHA-1

 8973e1956e2aa20524fd2746fa09e6b0f36dccfb

진단명

 not-a-virus:AdWare.Win32.Kraddare.sa (Kaspersky)

비고

 프로그램 삭제 파일

 

파일 경로

 C:\Program Files\Windows GearExt\gearexts.exe

SHA-1

 eff701e6e98add5f6154e9cbdc5ed1ed81415cfe

진단명

 Adware.Gearext.469184.C[h] (Hauri ViRobot)

디지털 서명

 INSAFE

비고

 예약 작업(gesegpnvup) 등록 파일

 

파일 경로

 C:\Program Files\Windows GearExt\gearextu.exe

SHA-1

 90839bd85912e9ca5ab0da4f043d93d1c6cee27d

진단명

 Adware/W32.Agent.471232 (nProtect)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - EXTGEAR = "C:\Program Files\Windows GearExt\gearextu.exe" /run

비고

 시작 프로그램(EXTGEAR) 등록 파일

 

파일 경로

 C:\Program Files\Windows GearExt\gext_bangabmoa.dll

SHA-1

 4dfdc68cbfe33bf4e1c056ea6f4892369bc52434

진단명

 Generic5.BIQY (AVG)

디지털 서명

 INSAFE

 

파일 경로

 C:\Windows\gemegpnvup.exe

SHA-1

 aaf986d60bc1a4d080de5987e1b04fe1f49c2a52

진단명

 Gen:Variant.Adware.Graftor.140283 (BitDefender)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gemegpnvup

비고

 서비스(gemegpnvup) 등록 파일

 

 

파일 경로

 C:\Windows\System32\drivers\gearext.sys

SHA-1

 af2fc2aeaaf78b63235685dad45c4118d5ff9eba

진단명

 Generic.EE7 (AVG)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gearext

비고

 드라이버(gearext) 등록 파일

INSAFE 디지털 서명이 포함된 "Windows GearExtion" 광고 프로그램은 "C:\Program Files\Windows GearExt" 폴더와 Windows 폴더 내에 파일을 생성하며, Windows 시작시 다음과 같은 자동 실행값을 통해 프로그램을 자동 실행하도록 구성되어 있습니다.

 

  • 서비스(gemegpnvup) : "C:\Windows\gemegpnvup.exe" /srv
  • 시작 프로그램(EXTGEAR) : "C:\Program Files\Windows GearExt\gearextu.exe" /run
  • 예약 작업(gesegpnvup) : C:\Program Files\Windows GearExt\gearexts.exe /sch

자동 실행된 파일들은 가상 환경 및 분석 도구가 설치된 환경이 아닌 경우 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 gearext.exe 파일을 메모리에 상주시킵니다.

 

이를 통해 사용자가 웹 브라우저를 이용하여 인터넷 검색 및 웹 사이트 접속 등의 행위 과정에서 gext_bangabmoa.dll 광고 모듈을 통해 광고창 생성과 같은 광고 행위를 수행할 수 있습니다.

 

"Windows GearExtion" 광고 프로그램 삭제 방법

기본적으로 해당 광고 프로그램은 제어판에 등록된 "Windows GearExtion" 삭제 항목을 이용하여 제거할 수 있으며, 제어판에 등록되어 있지 않은 경우에는 "C:\Program Files\Windows GearExt\gearext_uninst.exe" 파일을 찾아 직접 실행하여 삭제를 진행하시기 바랍니다.

 

만약 사용자의 필요에 따라 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 제거하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 순차적으로 입력 및 실행하여 등록된 서비스 및 드라이버 레지스트리 값을 자동 삭제하시기 바랍니다.

 

  • sc delete "gemegpnvup"
  • sc delete "gearext"

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 gearext.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 실행 중인 Internet Explorer 웹 브라우저를 종료한 후 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

 

  • C:\Program Files\Windows GearExt
  • C:\Windows\gemegpnvup.exe
  • C:\Windows\System32\drivers\gearext.sys
  • C:\Windows\System32\Tasks\gesegpnvup
  • C:\Windows\Tasks\gesegpnvup.job

(d) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램(Run)에 등록된 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - EXTGEAR = "C:\Program Files\Windows GearExt\gearextu.exe" /run

해외 보안 제품과 달리 국내 무료 백신의 경우에는 불필요한 프로그램(PUP)에 대한 진단이 이루어지지 않을 수 있으므로 다양한 변종이 존재하는 광고 프로그램으로 고생하시는 분들은 40여종의 백신 엔진을 통해 악성 파일 실행을 차단하는 앱체크(AppCheck) 보조 백신을 함께 사용하시기 바랍니다.

 

 

728x90
반응형